ESET Online-Hilfe

Suche English
Wählen Sie eine Kategorie aus
Wählen Sie ein Thema aus

Benutzersynchronisierung

Dieser Server-Task synchronisiert Daten von Benutzern und Benutzergruppen aus einer Quelle wie z. B. Active Directory, LDAP-Parameter usw..

Um einen neuen Server-Task zu erstellen, klicken Sie auf Tasks > Neu > add_new_default Server-Task oder wählen Sie den gewünschten Tasktyp in der Baumstruktur aus und klicken Sie auf Neu > add_new_default Server-Task.

Einfach

Geben Sie im Abschnitt Einfach grundlegende Informationen zum Task ein, z. B. Name und Beschreibung (optional). Klicken Sie auf Tags auswählen, um Tags zuzuweisen.
Wählen Sie im Dropdownmenü Task den Tasktyp aus, den Sie erstellen und konfigurieren möchten. Wenn Sie vor der Erstellung eines neuen Tasks einen bestimmten Tasktyp auswählen, wird der Task anhand Ihrer Auswahl vorkonfiguriert. Unter Task (siehe Liste aller Tasks) werden die Einstellungen und das Verhalten des Tasks festgelegt.

Außerdem haben Sie die folgenden Task-Trigger-Einstellungen zur Auswahl:

Task sofort nach dem Beenden ausführen - Wählen Sie diese Option aus, um den Task sofort auszuführen, wenn Sie auf Fertig stellen klicken.

Trigger konfigurieren - Wählen Sie diese Option aus, um den Bereich Trigger zu erweitern, in dem Sie die Triggereinstellungen konfigurieren können.

Markieren Sie dieses Kontrollkästchen nicht, falls Sie den Trigger später festlegen möchten.

Einstellungen

Allgemeine Einstellungen

Name der Benutzergruppe - Standardmäßig wird das Stammverzeichnis für synchronisierte Benutzer verwendet. Dies ist standardmäßig die Gruppe Alle. Alternativ können Sie eine neue Benutzergruppe erstellen.

Kollisionsbehandlung bei der Benutzererstellung – Zwei mögliche Arten von Konflikten:

Eine Gruppe enthält zwei Benutzer mit demselben Namen.

Es existiert ein Benutzer mit derselben SID (irgendwo im System).

Sie haben die folgenden Optionen für die Kollisionsbehandlung:

Überspringen – Benutzer wird bei der Active Directory-Synchronisierung nicht zu ESET PROTECT On-Prem hinzugefügt.

Überschreiben – Ein vorhandener Benutzer wird in ESET PROTECT On-Prem mit dem Active Directory-Benutzer überschrieben. Bei einem SID-Konflikt wird der vorhandene Benutzer in ESET PROTECT On-Prem von seinem bisherigen Ort gelöscht (selbst wenn der Benutzer Mitglied einer anderen Gruppe war).

Verfahren für Benutzerlöschung – Für nicht mehr vorhandene Benutzer können Sie die Option Entfernen oder Überspringen auswählen.

Verfahren für Benutzergruppenlöschung – Für nicht mehr vorhandene Benutzergruppen können Sie die Option Entfernen oder Überspringen auswählen.


note

Wenn Sie benutzerdefinierte Attribute für einen Benutzer verwenden, müssen Sie die Option Kollisionsbehandlung bei der Benutzererstellung auf Überspringen festlegen. Andernfalls wird der Benutzer (mit allen Details) mit den Daten aus Active Directory überschrieben, und die benutzerdefinierten Attribute gehen verloren. Wenn Sie den Benutzer überschreiben möchten, müssen Sie die Option Aktion bei Benutzerlöschung auf Überspringen festlegen.

Serververbindungseinstellungen


note

Wenn der ESET PROTECT-Server auf einem Windows-Computer ausgeführt wird, der mit einer Domäne verbunden ist, ist nur das Feld Server erforderlich. Sie können alle anderen Active Directory-Konfigurationsschritte unten überspringen. Eine Synchronisierung zwischen mehreren Domänen ist möglich, wenn zwischen den Domänen eine Vertrauensbeziehung existiert.

Server - Geben Sie Servername oder IP-Adresse Ihres Domänencontrollers ein.

Benutzername - Geben Sie den Benutzernamen für Ihren Domänencontroller im folgenden Format ein:

oDOMAIN\username (ESET PROTECT Server unter Windows)

ousername@FULL.DOMAIN.NAME oder username (ESET PROTECT Server unter Linux).


important

Geben Sie die Domäne immer in Großbuchstaben an. Dieses Format ist erforderlich, um Anfragen an einen Active Directory-Server korrekt authentifizieren zu können.

Passwort – Geben Sie das Passwort für die Anmeldung bei Ihrem Domänencontroller ein.


important

ESET PROTECT Server Windows verwendet standardmäßig das verschlüsselte Protokoll LDAPS (LDAP über SSL) für alle Active Directory-Verbindungen (AD). Sie können LDAPS auch in der virtuellen ESET PROTECT-Appliance konfigurieren.

Konfigurieren Sie Folgendes für eine erfolgreiche AD-Verbindung mit LDAPS:

1.Auf dem Domänencontroller muss ein Computerzertifikat installiert sein. Führen Sie die folgenden Schritte aus, um ein Zertifikat für Ihren Domänencontroller auszustellen:

a)Öffnen Sie den Server-Manager, klicken Sie auf Verwalten > Hinzufügen von Rollen und Features und installieren Sie Active Directory-Zertifikatdienste > Zertifizierungsstelle. Daraufhin wird eine neue Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen erstellt.

b)Klicken Sie im Server-Manager auf die Benachrichtigung (gelbes Dreieck) und Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren. Wählen Sie unter Rollendienste die Option Zertifizierungsstelle aus. Schließen Sie die Konfiguration ab, indem Sie auf Weiter klicken.

c)Navigieren Sie zu Start > geben Sie certlm.msc ein und drücken Sie die Eingabetaste, um das Zertifikat-Snap-In der Microsoft Management Console zu öffnen. Wählen Sie Zertifikate - lokaler Computer > Persönlich aus, klicken Sie mit der rechten Maustaste auf das leere Fenster > Alle Tasks > Neues Zertifikat anfordern > Domänencontroller registrieren.

d)Stellen Sie sicher, dass das ausgestellte Zertifikat den FQDN des Domänencontrollers enthält.

e)Importieren Sie auf Ihrem ESET PROTECT-Server die von Ihnen generierte Zertifizierungsstelle in den Zertifikatspeicher (mit dem Tool certlm.msc) > Lokaler Computer > im Ordner Vertrauenswürdige Stammzertifizierungsstellen.

f)Starten Sie den ESET PROTECT-Server-Computer neu.

2.Wenn Sie die Verbindungseinstellungen für den AD-Server bereitstellen, geben Sie den FQDN des Domänencontrollers (wie im Domänencontroller-Zertifikat angegeben) im Feld Server bzw. Host ein. Die IP-Adresse ist für LDAPS nicht mehr ausreichend.

Aktivieren Sie das Kontrollkästchen LDAP anstelle von Active Directory verwenden und geben Sie die Attribute für Ihren Server ein, um das Fallback zum LDAP-Protokoll zu aktivieren. Alternativ können Sie eine Voreinstellung auswählen, indem Sie auf Auswählen klicken. In diesem Fall werden die Attribute automatisch ausgefüllt:

Active Directory

macOS Server Open Directory (Computer-Hostnamen)

OpenLDAP mit Samba-Computereinträgen – Einrichtung der Parameter DNS-Name in Active Directory.

Synchronisierungseinstellungen

Distinguished Name – Pfad (Distinguished Name) zum Knoten im Active Directory-Baum. Wenn Sie diese Option nicht ausfüllen, wird der gesamte AD-Baum synchronisiert. Klicken Sie auf Durchsuchen neben Distinguished Name. Ihre Active Directory-Baumstruktur wird angezeigt. Wählen Sie den obersten Eintrag aus, um alle Gruppen mit zu synchronisieren, oder nur die gewünschten Gruppen, die Sie zu ESET PROTECT On-Premhinzufügen möchten. Nur Computer und Organisationseinheiten werden synchronisiert. Klicken Sie anschließend auf OK.


note

Distinguished Name ermitteln

1.Öffnen Sie die Anwendung Active Directory-Benutzer und -Computer.

2.Klicken Sie auf Anzeigen und wählen Sie Erweiterte Funktionen aus.

3.Klicken Sie mit der rechten Maustaste auf die Domäne, klicken Sie auf Eigenschaften und wählen Sie die Registerkarte Attribut-Editor aus.

4.Suchen distinguishedName Sie die Zeile. Sie sollte wie in diesem Beispiel gezeigt aussehen: DC=ncop,DC=local.

Benutzergruppe und Benutzerattribute – Die Standardattribute eines Benutzers hängen vom Verzeichnis des Benutzers ab. Wenn Sie Active Directory-Attribute synchronisieren möchten, wählen Sie den AD-Parameter im Dropdownmenü für die entsprechenden Felder aus oder geben Sie einen benutzerdefinierten Namen für das Attribut ein. Neben jedem synchronisierten Feld befindet sich ein ESET PROTECT On-Prem-Platzhalter (z. B.: ${display_name}), der dieses Attribut in bestimmten ESET PROTECT On-Prem-Policy-Einstellungen repräsentiert.


important

Falls der Fehler Server not found in Kerberos database angezeigt wird, wenn Sie auf Durchsuchen klicken, verwenden Sie den AD FQDN des Servers anstelle der IP-Adresse.

Trigger

Der Bereich Trigger enthält Informationen zu den Triggern, die einen Task auslösen. Für jeden Server-Task kann maximal ein Trigger konfiguriert werden. Jeder Trigger kann nur einen Server-Task ausführen. Wenn die Option Trigger konfigurieren nicht im Bereich Einfach ausgewählt ist, wird kein Trigger erstellt. Tasks können ohne Trigger erstellt werden. Diese Tasks können anschließend manuell ausgeführt oder später mit einem Trigger konfiguriert werden.

Erweiterte Einstellungen – Drosselung

Mit der Drosselung können Sie erweiterte Regeln für den erstellten Trigger festlegen. Die Drosselung ist optional.

Zusammenfassung

Hier werden alle konfigurierten Optionen angezeigt. Überprüfen Sie die Einstellungen und klicken Sie auf Fertig.

Unter Tasks werden die Fortschrittsanzeige, das Statussymbol und die Details zu den einzelnen erstellten Tasks angezeigt.